GETOVERX FORUM Community Support
LockBit 3.0 (LockBit Black) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: LockBit 3.0 (LockBit Black) (/showthread.php?tid=102)

LockBit 3.0 (LockBit Black) - mrwebfeeder - 12-05-2025

Nombre: LockBit 3.0 (LockBit Black)

Categoría: Ransomware (cifrado de archivos, doble/triple extorsión)

Fecha de descubrimiento: Marzo 2022

Comportamiento (lo que hace y archivos que infecta):
- Variante avanzada de la familia LockBit, operada como Ransomware-as-a-Service (RaaS).
- Una vez ejecutado, escanea todas las unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos y ficheros de aplicaciones corporativas.
- Backups accesibles y unidades mapeadas (shares SMB, NAS, etc.).
- Cifra estos archivos utilizando esquemas de cifrado fuertes (normalmente combinando criptografía simétrica y asimétrica), dejando notas de rescate en cada carpeta afectada.
- Antes o durante el cifrado, suele exfiltrar información sensible hacia servidores controlados por los atacantes para:
- Amenazar con la filtración pública de datos.
- Aumentar la presión para el pago del rescate (doble o triple extorsión).
- A menudo desactiva servicios de seguridad, detiene procesos que bloquean archivos (bases de datos, servicios de backup) y puede borrar copias de sombra para dificultar la recuperación.

Persistencia:
- Utiliza técnicas como:
- Claves de ejecución automática en el Registro (Run/RunOnce u otras rutas de inicio).
- Creación de tareas programadas que relanzan el binario de ransomware o sus loaders.
- Abusa de herramientas administrativas (PSExec, Group Policy, scripts PowerShell, etc.) para:
- Desplegar el payload en múltiples equipos del dominio.
- Mantener el control durante el tiempo suficiente para cifrar la mayor cantidad de archivos posible.
- Los operadores pueden mantener persistencia adicional mediante:
- Cuentas de dominio comprometidas.
- Herramientas de administración remota.
- Backdoors adicionales desplegados antes o después del cifrado.

Hash real de referencia (SHA-256):
Muestra pública asociada a LockBit (familia LockBit, incluyendo variantes recientes):
Code:
43ced481e0f68fe57be3246cc5aede353c9d34f4e15d0afe443b5de9514d3ce4

Mitigación con GetOverX Shield v3.0.2.0 o Superior:
  • Antivirus:
    - Ejecutar un escaneo completo con firmas actualizadas para localizar:
    - El ejecutable principal de LockBit 3.0.
    - Droppers, scripts y herramientas auxiliares usados en la cadena de infección.
    - Mantener activas las heurísticas de ransomware para detectar:
    - Patrones de cifrado masivo.
    - Acceso intensivo a archivos en shares y unidades de red.
    - Eliminar o poner en cuarentena todas las detecciones y repetir el escaneo antes de reconectar el host a la red.

  • Firewall:
    - Bloquear conexiones salientes sospechosas (especialmente hacia IPs/C2 desconocidos) desde el host afectado para limitar:
    - La exfiltración de datos.
    - La comunicación con paneles de control de los operadores.
    - Restringir el tráfico SMB, RDP y otros protocolos de administración remota a orígenes/destinos estrictamente necesarios.
    - Aislar rápidamente los hosts que muestren actividad de cifrado o conexiones de red anómalas.

  • HIPS/EDR:
    - Activar reglas que detecten comportamientos típicos de ransomware:
    - Creación masiva de archivos cifrados y cambios rápidos de extensiones.
    - Borrado de Shadow Copies o uso de herramientas como
    Code:
    vssadmin
    y
    Code:
    wmic
    para deshabilitar restauración.
    - Uso anómalo de herramientas administrativas (PSExec, scripts de dominio, GPOs) para desplegar ejecutables en varios equipos.
    - Configurar respuesta automática para:
    - Matar el proceso malicioso en cuanto se detecte el patrón de cifrado.
    - Bloquear el hash del ejecutable sospechoso.
    - Iniciar el aislamiento de red del endpoint afectado (cortar SMB, RDP, etc.).
    - Registrar todos los eventos en los logs unificados de GetOverX para análisis forense posterior.

  • Sandbox:
    - Ejecutar adjuntos y ejecutables sospechosos en el módulo de Sandbox antes de permitir su ejecución en el entorno real, especialmente:
    - Ficheros recibidos por correo electrónico.
    - Descargas provenientes de enlaces dudosos o herramientas “administrativas” entregadas por terceros.
    - Observar si:
    - Intentan cifrar archivos en la VM de prueba.
    - Crean tareas programadas o claves de Registro para persistencia.
    - Establecen conexiones hacia C2 o direcciones IP no habituales.

  • Recuperación:
    - Desconectar el equipo de la red o aplicar el perfil de Firewall Strict para cortar comunicaciones y propagación lateral.
    - Limpiar con GetOverX Shield (Antivirus + EDR) todos los artefactos de LockBit y herramientas auxiliares.
    - Restaurar datos únicamente desde backups offline verificados (no accesibles durante el incidente):
    - Verificar previamente que los backups no estén cifrados ni manipulados.
    - Tras la recuperación:
    - Cambiar credenciales privilegiadas (administradores de dominio, cuentas de servicio, VPN, etc.).
    - Revisar GPOs, scripts de inicio y herramientas de administración remota para eliminar backdoors y configuraciones maliciosas.

Notas opcionales:
- LockBit 3.0 (LockBit Black) es una de las familias de ransomware más activas y sofisticadas, con múltiples afiliados RaaS y un fuerte enfoque en la exfiltración y publicación de datos robados para maximizar la presión sobre la víctima.